Inicialização
Login
Ao iniciar o aplicativo pela primeira vez, será exibido a tela de login, exigindo a confirmação de E-mail e Senha para poder utilizar o aplicativo. Caso não tenha uma conta ou não se lembre da senha, existe a opção esqueci minha senha para atualizar os dados do usuário. Após ter realizado o login, a tela Início sempre será exibida ao iniciar o aplicativo, a menos que tenha sido realizado o logout pela opção sair. A tela de login será mostrada como na imagem abaixo:
Autenticação Multifator
Após terminar o login pela primeira vez, será exibido um alerta para a ativação de conta por multifator. É recomendado o uso do multifator para manter a segurança da conta ao realizar o login, assim como configurações de bloqueio de tela. O alerta é exibido como na figura abaixo:
Tutorial
Após ter sido realizado o login pela primeira vez, e ter sido exibido a opção de autenticação, será exibido o tutorial para entender melhor o aplicativo, assim como uma rápida mostra dos ícones e suas funcionalidades, de forma interativa. Como mostrado a seguir:
Telas de Menu
Ao realizar o login com sucesso, é obtida a tela Início do aplicativo com as opções de tela: início, buscar, histórico e favoritos, respectivamente.
Início
Na tela Início são exibidos gráficos e indicadores de SIEM e SOAR, assim como de Tarefas e Acompanhamentos. Alguns gráficos possuem opções de datas e opção de pesquisa. A atualização dos gráficos e indicadores é realizada automaticamente em um intervalo de 5 minutos ou ao arrastar a tela para baixo.
Observação: O valor da data no campo “Atualizado em” se refere à última modificação registrada no banco de dados, e não à data em que o usuário realizou a atualização da tela.
As Categorias de Busca e Domínios (localizado no canto superior direito da tela) podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Buscar
Na tela de buscas é possível pesquisar por alertas, tickets, incidentes, log sources e regras, utilizando os recursos de busca por voz ou busca por tela, como mostrado na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Histórico
Na seção de notificações é possível visualizar as notificações-push recebidas e atualizar a página ao arrastar a tela para baixo. Na seção de buscas é possível ver pesquisas feitas anteriormente, e realizar a busca novamente. Na seção de acompanhamentos, é possível ver itens que foram escolhidos para acompanhamento.
Favoritos
Na tela de favoritos, são exibidos os filtros de pesquisas favoritas padrão, com o símbolo de cadeado, como por exemplo contador severidade, e os favoritos customizados, com símbolo de caneta.
Alertas
Sobre
O SAW traz ao usuário informações detalhadas de alertas recebidos, como também uma variedade de filtros de pesquisa de alertas, para facilitar o acesso as informações de acordo com o que o usuário precise. Uma prévia é apresentada nas figuras abaixo:
Tipos de Alerta
Os alertas são divididos em 4 tipos de severidades (baixa, média, alta e crítica), em 2 tipos de status (aberto e fechado), para qual operador o alerta está atribuído e a data de sua criação.
Edição de Itens
Fechamento de Item
Os alertas podem ser fechados ao clicar no ícone de lápis à direita da tela na seção status. Para fechar o alerta, deve ser escolhido o motivo do fechamento e confirmar. Caso necessário, pode ser criada uma nota de fechamento, mas ela não pode ser editada ou removida após ser adicionada, como mostrado nas imagens abaixo:
Atribuição para Operadores
Os alertas podem ser atribuídos ao clicar no ícone de um lápis à direita da tela na seção alocado para. Para Atribuir o alerta, deve ser escolhido o operador e confirmar, como mostrado nas imagens abaixo:
Criar Notas
Os alertas podem ter notas criadas ao expandir a seção de notas do alerta. Essa seção se encontra na parte superior do alerta e ao lado direito de sumário. Caso deseje criar uma nota, clique no ícone + no canto inferior direito da tela. Após escrever a nota clique em salvar, como mostrado nas imagens abaixo:
Visualizar Regras
Os alertas possuem regras criadas pelo QRadar para identificar ofensas. Esse item é encontrado na parte inferior do sumário do alerta.
Visualizar Ticket e Alerta equivalente
Os alertas podem possuir ou não tickets de equivalência ao alerta caso exista o acesso ao SOAR e, de forma equivalente, um ticket pode possuir um alerta. Essa opção é identificada dentro do próprio item abaixo da opção de domínio, como mostrado na imagem abaixo:
Acompanhamento de Item
Os alertas, tickets e incidentes possuem a opção de acompanhamento, que pode ser ativada ao clicar no ícone de sino. Ao ativar a opção de acompanhamento, novas notas e alterações sobre o item serão recebidas por meio de notificações-push do aplicativo e ficarão presentes no histórico de notificações. Caso o gráfico Acompanhamentos esteja presente na tela Início, as notas mais recentes dos itens com a opção “acompanhamento” ativo serão exibidas nele. Essa opção é identificada no canto superior direito da tela. (Mais informações sobre Acompanhamento serão vistas no item 6.3) Como mostrado na imagem abaixo:
Compartilhamento de Item
Os alertas, tickets e incidentes podem ser compartilhados ao clicar no ícone ao lado esquerdo do ícone de sino. Essa opção é identificada no canto superior direito da tela.
Tipos de Pesquisa
Pesquisa por Voz
Em qualquer tela, ao pressionar o botão de Pesquisa por Voz (ícone vermelho de microfone no centro inferior da tela), ele irá pulsar enquanto o usuário fala o que deseja pesquisar, seja sobre alertas, tickets, incidentes, log sources ou regras. Após terminar o comando, será realizada a pesquisa automaticamente,exibindo seus resultados, caso existam. Pode também ser clicado novamente no ícone de Pesquisa por Voz para finalizar o comando.
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Observação: Para pesquisas relacionadas à operadores é aconselhado o uso da pesquisa por tela, tendo em vista as palavras homófonas que são palavras que possuem a mesma pronúncia, mas são escritas de modo diferente, como por exemplo: Elena e Helena ou Ana e Anna.
Pesquisa por Tela
Para realizar pesquisas por tela, deve primeiro ser escolhido o domínio e a categoria de busca (alertas, tickets, incidentes, log sources e regras), na parte superior da tela. Após escolher o filtro desejado clique no balão de buscas para que a busca seja realizada, no ícone de limpar para apagar os filtros selecionados, ou na estrela para adicionar a pesquisa aos favoritos.
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Tipos de Filtro
Filtros de Alerta
O Menu de Buscas na categoria alertas é dividido em duas partes distintas, listar e contar, cada uma com filtros diferentes para escolha. O filtro “Aguardando Cliente” está relacionado aos alertas que foram notificados ao cliente. Os filtros e a tela de busca são como mostrado nas imagens abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Os alertas podem retornar diversos resultados dependendo da pesquisa realizada, sendo divididos em 3 categorias principais: listar, contar e nenhum resultado. Para Listar, são retornados os Alertas com suas informações. Para Contar, é retornado uma quantidade numérica dos Alertas encontrados. Para Nenhum Resultado, é retornado uma mensagem textual que não foram encontrados alertas no caso de listar, e total encontrado = 0 para o caso contar. Os resultados das buscas podem ser vistos como mostrado nas imagens abaixo:
Filtros de Ticket
O Menu de Buscas na categoria tickets possui duas telas de filtros para escolha, como visto nos Filtros de Alertas, como mostrado na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Filtros de Incidentes
O Menu de Buscas na categoria incidentes possui duas telas de filtros para escolha, como visto nos Filtros de Alertas. O filtro “Aguardando Cliente” está relacionado a Fase em que o Incidente se encontra. Como mostrado na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Filtros de Log Sources
O Menu de Buscas na categoria log sources possui apenas uma tela de filtros para escolha, mostrando os resultados em forma de lista, como mostrado na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Filtros de Regras
O Menu de Buscas na categoria regras possui apenas uma tela de filtros para escolha, mostrando os resultados em forma de lista, como mostrado na imagem abaixo:
As Categorias de Busca e Domínios podem ou não estar presentes para o usuário, dependendo das permissões do aplicativo.
Histórico
Notificações
Na seção de notificações, são exibidas as notificações enviadas pelo aplicativo, sejam elas sobre novos itens, acompanhamentos ou informações gerais. Caso o item já tenha sido visualizado, à esquerda da notificação o ícone de um envelope fechado, será visto e caso contrário, será visto um ícone de envelope aberto. As informações presentes na seção de notificações apresentam as informações do momento em que foi recebido a notificação, então caso alguma alteração tenha sido realizada no item após a notificação, essa alteração estará presente no item modificado e não no histórico de notificações. Para atualizar as notificações, arraste a tela para baixo. O Histórico de Notificações é como mostrado pela imagem abaixo:
Observação: notificações são automaticamente excluídas após 7 dias.
Buscas
Na seção de buscas, são exibidas as pesquisas realizadas previamente, incluindo a data da pesquisa. Nessa tela é possível realizar ações extras, como: Pesquisar, ao clicar na pesquisa ou arrastando-a para a direita; Apagar a pesquisa clicando no ícone de lixeira ou arrastando para a esquerda; Favoritar, ao clicar no ícone de estrela (apagada); Desfavoritar, ao clicar no ícone de estrela (acesa), como nas imagens a seguir:
Acompanhamento
Na seção de acompanhamento são exibidas as notas mais recentes dos itens acompanhados pelo usuário. Para atualizar a lista de acompanhamentos, arraste a tela para baixo.
É possível pesquisar por itens em acompanhamento utilizando a barra de buscas. Itens em Acompanhamento também podem ser visualizados pelo gráfico de acompanhamentos na tela início. O histórico de acompanhamento é como mostrado pela imagem abaixo:
Favoritos
Padrão
O SAW disponibiliza na tela de favoritos algumas pesquisas que podem ser as mais comuns para uso do aplicativo, como Horário comercial de ontem (buscar alertas de ontem entre 14 e 18 horas), como na imagem a seguir:
Customizados
Os favoritos customizados podem ser adicionados ou removidos de diversas maneiras pelo aplicativo. Ao realizar uma pesquisa, ela aparece no topo da tela de buscas junto de um ícone de estrela (acesa ou não), e ao clicar no ícone, caso esteja apagada (cinza) ele fica da cor amarela, e caso esteja acesa (amarela) ela fica cinza. Todas as pesquisas com o ícone de estrela aceso simbolizam que ela é uma pesquisa que está nos favoritos, e se estiver apagada, significa que não está nos favoritos. Podem também ser feitos os mesmos procedimentos de outras telas, ou seja, clicando no ícone de estrela pela tela buscas, histórico ou favoritos.
Menu de Navegação
Acessando
Existem duas maneiras para abrir o menu de mavegação. A primeira maneira é ao clicar no ícone do menu de navegação (3 linhas horizontais no canto superior esquerdo) e a segunda maneira é arrastando a tela do aparelho, do canto esquerdo para a direita. Para fechar, basta arrasta-lo para a sua lateral de origem ou clicar fora dele.
Meu Perfil
Ao clicar no nome do usuário ou foto/sigla de perfil, a tela de perfil de usuário será exibida. Nessa tela, é possível alterar as informações de nome e telefone, assim como a foto de perfil. Para realizar uma troca de e-mail, contate o suporte ao usuário e realize a requisição de troca de e-mail. A tela é como na imagem abaixo:
Preferências
Ao clicar em Configurações > Preferências, será exibido uma tela com as chaves de receber notificações por dispositivo e e-mail. A opção de receber por dispositivo está relacionada as categorias Alertas, Tickets e Incidentes. A opção de receber notificações por e-mail está relacionada ao companhamento de itens.
O idioma do aplicativo pode ser alterado entre inglês e português.
Os logs de uso possuem o papel de auxiliar a equipe de suporte em caso de feedback de uso do aplicativo. A tela é como na imagem abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Notificações
Dentro de preferências, as opções de notificações são vistas como novos itens e não atribuídos. Deixe a chave de receber notificações no modo ligado e configure os temporizadores de notificações da maneira que preferir. A opção de receber notificações por e-mail está relacionada ao acompanhamento de itens. A imagem abaixo mostra um menu já configurado:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Segurança
Ao clicar em Configurações > Segurança, será exibido uma tela com algumas opções de segurança de conta, sendo elas configurações de bloqueio de tela e configurações de autenticação. A tela de segurança é como na imagem abaixo:
Para as opções de bloqueio de tela, são exibidas as opções de segundo plano, que bloqueia o aplicativo ao sair dele e retornar, alternar conta, que bloqueia o aplicativo ao alterar entre contas conectadas, e por inatividade, que bloqueia o aplicativo após um tempo configurado sem atividade. O bloqueio do aplicativo pode ser visualizado na imagem abaixo:
Para as opções de segurança, o aplicativo conta com a troca de senha e configuração de autenticação multifator. As telas de configuração de autenticação multifator podem ser vistas abaixo:
Indicadores
Ao clicar em Configurações > Indicadores, será exibido uma tela com todos os gráficos e indicadores presentes na tela de início. Para configurar o que é exibido, clique em Adicionar Indicadores, selecione as opções desejadas e clique em salvar. Para reordenar os indicadores, aperte e segure na opção desejada e a arraste para cima ou para baixo. A tela de indicadores é como na imagem abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Log Sources
Ao clicar em SIEM > Log Sources, será exibido uma tela com todos os Log Sources. No canto superior direito da tela se encontram 4 opções de filtro de pesquisas: sem filtro, ativo, ativo com erro, inativo, como nas imagens abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Regras
Ao clicar em SIEM > Regras, será exibido uma tela com todas as Regras. No canto superior direito da tela se encontram 3 opções de filtro de pesquisas: todos os status, ativo, inativo, como nas imagens abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Tickets
Ao clicar em SOAR > Tickets, será exibido uma tela com todos os Tickets. No canto superior direito da tela se encontram 3 opções de filtro de pesquisas todos os status, ativo e fechado, como nas imagens abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Incidentes
Ao clicar em SOAR > Incidentes, será exibido uma tela com todos os Incidentes. No canto superior direito da tela se encontram 3 opções de filtro de pesquisas todos os status, ativo e fechado, como nas imagens abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Suporte
Ao clicar em Ajuda > Suporte, será exibido uma tela com opções de feedback de uso do aplicativo. Para um feedback relacionado a Problemas, é aconselhado que a opção de logs de uso esteja ativa, para que seja possível um melhor entendimento do problema encontrado pela equipe de suporte, como nas imagem abaixo:
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Tutorial
O Tutorial pode ser visto novamente a qualquer momento, com ou sem conexão com a internet. Caso seja necessário ver novamente alguma informação, ou haja alguma dúvida sobre o funcionamento do SAW, a opção Tutorial se encontra no menu de navegação, dentro da aba de Ajuda.
A categoria SIEM e/ou SOAR pode ou não estar presente para o usuário, dependendo das permissões do aplicativo.
Sair
Para Sair com o seu usuário do aplicativo, abra o Menu de Navegação e clique na opção Gerenciar Usuários. Será exibido então as opções de Trocar de Contas, ao clicar em outro usuário (também é possível realizar a troca diretamente pelo Menu de Navegação). Entrar com Nova Conta, realizando o login, ou Remover uma conta, pelo ícone de saída à direita do usuário. Existe também a opção de Desconectar Todas as Contas. A tela é como mostrado nas imagens a seguir:
Erros
Falta de conexão com internet
O SAW é um aplicativo dependente da conexão com a internet, então não é possível fazer pesquisas ou mudar configurações sem que haja conexão com a internet. A qualquer momento que haja perda de conexão, será exibido uma mensagem no canto inferior da tela ou a própria tela exibirá a mensagem. Para voltar a utilizar o SAW, reconecte-se a internet. As imagens abaixo exibem telas do aplicativo sem a conexão com a internet:
